Lors de la compétition de hacking GeekPwn 2022, un chercheur en sécurité a identifié une vulnérabilité qui affecte les produits VMware. Pas n'importe quel produit puisque l'on parle de VMware ESXi, VMware Workstation et VMware Fusion, trois produits phares de l'éditeur américain.

Yuhao Jiang, chercheur en sécurité chez Ant Security, a fait la découverte de cette faille de sécurité identifiée avec la référence CVE-2022-31705. Grâce à elle, il a remporté le premier prix lors del a compétition de hacking GeenPwn 2022, organisée en chine par le Tencent Keen Security Lab.

Résultat, VMware a mis en ligne le bulletin de sécurité VMSA-2022-0033 dans lequel l'éditeur évoque cette vulnérabilité et les produits affectés. Ainsi, on peut voir que cette vulnérabilité affecte les dernières versions des solutions VMware, comme ESXi 8.0 (mais aussi ESXi 7.0) et Workstation Pro 17. D'ailleurs, cette faille affecte aussi bien Workstation Pro que Workstation Player (gratuit).

Au sein de son bulletin de sécurité, l'éditeur américain explique que cette faille se situe dans le contrôleur USB 2.0 qui est associé aux machines virtuelles (peu importe le système invité).

En fonction du produit affecté, cette faille de sécurité hérite d'un score CVSS compris entre 5,9 et 9,3 sur 10. Un attaquant disposant de privilèges d'administration locale sur une machine virtuelle peut exploiter cette faille pour exécuter du code malveillant dans le processus VMX de l'hôte qui héberge la machine virtuelle.

Avec VMware Workstation et Fusion, cela permet d'exécuter du code sur la machine physique qui héberge les VMs, tandis qu'avec ESXi, l'impact est moindre, car il y a une sandbox. La bonne nouvelle, c'est que l'impact de cette faille est limité sur les environnements de production basés sur un hyperviseur VMware ESXi.

Une fois de plus, j'ai envie de dire : à vos mises à jour ! Consultez le lien ci-dessus pour accéder aux informations sur les nouvelles versions à installer pour se protéger.

Source

L'article VMware corrige une faille dans ESXi, Workstation et Fusion découverte lors du GeekPwn 2022 est disponible sur IT-Connect : IT-Connect.